个人信息保护指南(征求意见稿).docx

确认测试服务 单项测试服务 鉴定测试服务 其他测试服务 个人信息保护指南（征求意见稿）发布时间：2010-04-24 00:35 来源： 作者： 第一章 总 则第一条 目的 为提高个人信息保护意识，保护个人合法权益，促进个人信息有序利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。第二条 适用范围和方式企事业单位部分或全部采用信息系统进行个人信息处理时，可依据本指南的原则和要求，制定个人信息保护政策、个人信息处理准则或办法，规范本单位的个人信息处理活动。行业协会、标准化组织、第三方机构等可依据本指南的原则和要求，制定个人信息处理自律手则、标准和评估办法等，规范、指导相关单位的个人信息处理活动。第三条 不适用范围本指南不适用于以下情况的个人信息处理活动：（1）因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理；（2）因家庭事务和个人交往需要由自然人进行的个人信息处理；（3）法律法规对个人信息处理有明确规定的其他情形。第四条 术语定义本指南中，“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。“个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。“信息系统”是指为实现信息处理目的，按照一定规则组合并运行的计算机及其配套的设备、设施（含网络）。“收集”是指获取并记录个人信息的行为。“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。“使用”是指运用个人信息的行为，包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策，依据个人信息实施某种行动或行为等。“销毁”是指从物理上毁灭记录个人信息的载体。“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。第二章 个人信息处理原则第五条 【遵循原则要求】 利用信息系统进行个人信息处理，应自觉遵守本指南确定的原则。第六条 【目的明确原则】处理个人信息应具有明确、合法的目的，法律法规没有明确规定或者个人信息主体没有明确授权，不应擅自处理个人信息。第七条 【公开透明原则】处理个人信息之前，应以明确、易懂的方式向个人信息主体告知处理个人信息的目的，处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策，个人信息主体的权利以及个人信息的使用范围和相关责任人等。第八条 【质量保证原则】 应根据处理目的的需要保证个人信息准确、完整，时间敏感的个人信息应处于最新状态。第九条 【安全保障原则】 应采取必要的管理措施和技术手段，保护信息系统中的个人信息安全，防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。第十条 【合理处置原则】 利用信息系统处理个人信息的方式应合理，处理个人信息的内容应与告知个人信息主体的目的相关，不超出目的范围处理个人信息，不应在既定目的实现后超期限保留个人信息。第十一条 【个人参与原则】 应在个人信息处理的过程中，提供必要的途径和手段，为个人信息主体实现其权利提供便利。第十二条 【责任落实原则】 应明确个人信息处理过程中的责任，对不承担相关责任的行为，应建立必要的制度予以追究。第三章 个人信息主体权利保护第十三条 【权利保护要求】利用信息系统处理个人信息时，信息系统管理者应提供必要的措施和手段保护个人信息主体的权利，除非法定原因或维护公共利益、第三方重大利益的需要，不应限制个人信息主体的权利。第十四条 【知情权】 个人信息主体向信息系统管理者提出申请了解：（1）是否拥有其个人信息；（2）拥有个人信息的内容；（3）获得其个人信息的来源；（4）处理其个人信息的目的；（5）保护其个人信息的政策和措施；（6）披露或向其他机构提供其个人信息的范围；（7）信息系统管理者的相关信息等时，信息系统管理者应当如实告知。第十五条 【选择权】 信息系统管理者向个人信息主体收集其个人信息时，应给予个人信息主体同意或拒绝的机会。第十六条 【更正权】 信息系统管理者应提供必要的方法和手段，保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性，并且在发现错误时进行修改。第十七条 【禁止权】 个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时，信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。第十八条 【求偿权】 因信息系统管理者的原因导致个人信息泄露或不当使用，给相关个人信息主体造成损害或损失，个人信息主体要求赔偿时，信息系统管理者应当赔偿。第四章 个人信息处理的前提条件第十九条 【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意，信息系统管理者不应处理个人信息，除非满足以下条件之一：（1） 履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要；（2） 履行信息系统管理者的法定职责，且不会对个人信息主体权益造成侵害；（3） 为维护个人信息主体的利益需要，且情况紧急，获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大；（4） 维护公共利益或第三方的重大利益需要，且不会对个人信息主体权益造成侵害；（5） 因传输需要，由自动设备进行的自动、瞬时完成的个人信息处理；（6） 处理个人信息主体主动公开的信息，且处理目的不超出个人信息主体主动公开的目的范围。第二十条 【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息，信息系统管理者在未获得行业管理部门批准前，不应擅自处理相关信息。第二十一条 【个人信息公告要求】本指南发布前，信息系统管理者已经存留个人信息的，应当采取适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。第五章 个人信息收集第二十二条 【直接收集个人信息】信息系统管理者如需使用个人信息，应直接向个人信息主体收集。利用信息系统收集个人信息，应满足以下条件： （1）具有特定、明确、合法的目的；（2）采用合理、适当的方法和手段；（3）获得个人信息主体的明确同意，或满足第十九条的规定；第二十三条 【信息收集要求】信息系统管理者向个人信息主体收集个人信息前，应采取个人信息主体能够收悉的方式向个人信息主体明确告知如下事项：（1）收集信息的目的、使用范围和收集方式；（2）信息系统管理者的名称、地址、联系办法；（3）不提供个人信息可能出现的后果；（4）个人信息主体的权利；（5）个人信息主体的投诉渠道等。第二十四条 【间接收集个人信息】信息系统管理者一般不应在个人信息主体不知情、未参与的情况下采取技术手段间接收集个人信息，特殊情况必须间接收集个人信息时，应符合第十九条规定的条件或法律法规政策有明确的规定。第二十五条 【未成年人个人信息收集】信息系统管理者不应收集未满14周岁未成年人的个人信息，收集14-18周岁未成年人信息时，应征得未成年人家长的同意。第六章 个人信息委托加工第二十六条 【信息加工委托的前提】信息系统管理者收集个人信息后需委托第三方对个人信息进行加工的，应在收集前向个人信息主体说明。第二十七条 【信息加工委托的要求】信息系统管理者委托第三方对个人信息进行加工时，应确保第三方具有不低于自身的信息安全保护水平，并且应通过合同明确第三方的个人信息保护责任。第二十八条 【加工转移过程中的安全要求】信息系统管理者在向接受委托加工的第三方转移个人信息时，应保证转移过程中的个人信息安全。第二十九条 【信息加工者的责任】接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同要求，采取必要的技术手段和管理措施，保障个人信息在加工过程中的安全。第三十条 【加工完成后销毁】接受委托的第三方完成个人信息加工任务并移交给委托者后，应自行删除和销毁相关个人信息。法律法规有规定或合同有约定的，从其规定或约定。第七章 个人信息转移第三十一条 【个人信息转移的一般要求】信息系统管理者收集个人信息后一般不应向其他机构转移，如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象，并获得个人信息主体明示同意。法律法规或政策对个人信息的转移有明确规定的，从其规定。第三十二条 【信息转移者的责任】信息系统管理者向其他机构转移个人信息时，应确保个人信息的接收者具有不低于自身的信息安全保护水平，应保证转移过程中的个人信息安全。第三十三条 【限制向国外转移】未经个人信息主体的明示同意，信息系统管理者不应将个人信息转移到国外。法律法规另有规定或政策另有要求的除外。第八章 个人信息披露、公开、使用、销毁或删除第三十四条 【信息披露】信息系统管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内，不应向其他机构披露相关个人信息。第三十五条 【公开个人信息】未经个人信息主体明示同意，信息系统管理者不应公开其处理的个人信息。第三十六条 【使用个人信息】个人信息使用应限于收集个人信息时告知的目的，无法律法规的明确规定或个人信息主体的明确授权，不应超出目的使用个人信息。第三十七条 【网站个人信息管理】未经个人信息主体同意，信息系统管理者不应在网站上发布未公开的个人信息。应个人信息主体要求，网络经营者或管理者应及时删除个人信息。删除个人信息可能会影响到公安机关的调查取证时，信息系统管理者应采取适当的信息保全措施。第三十八条 【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。如果需要继续保留个人信息，应对相关个人信息进行匿名处理。法律法规另有规定或个人信息主体另有授权的，从其规定或授权。第三十九条 【个人信息修改和补充】个人信息主体发现其个人信息有误并要求修改时，信息系统管理者应查验相关信息，并在核对正确后修改和补充相关信息。第九章 个人信息管理第四十条 【管理的一般要求】信息系统管理者利用信息系统处理个人信息的，应制定个人信息保护政策或方针，建立个人信息管理制度，落实个人信息管理责任，加强个人信息管理，规范个人信息处理活动。第四十一条 【机构要求】 信息系统管理者应指定专门机构或人员负责内部的个人信息保护工作，接受个人信息主体的投诉与质询。第四十二条 【技术手段要求】信息系统管理者应采取必要的技术手段，保护个人信息的安全，确保但不限于以下目标：（1）防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰；（2）处理个人信息时，应保证信息系统持续稳定运行；（3）保证个人信息在信息系统中的保密性、真实性和完整性。第四十三条 【信息查询要求】信息系统管理者在个人信息主体提出查询请求时，应如实和免费地告知请求人有关其个人信息，除非告知信息的成本明显过于高或者请求人请求次数明显过于频繁。第四十四条 【风险管理要求】信息系统管理者应加强个人信息风险管理，识别、分析、评估潜在的风险因素，制定风险应对策略，采取风险控制措施，监控风险变化。第四十五条 【应急处理要求】 信息系统管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案，采取相应的预防和应对措施。第四十六条 【教育培训要求】 信息系统管理者应制定个人信息保护的教育培训计划并组织落实。第四十七条 【内控机制要求】 信息系统管理者应建立个人信息保护的内控机制，定期开展检查，并形成检查评价报告。第四十八条 【持续改善要求】信息系统管理者应建立持续完善机制，不断改进信息保护状况，提高信息保护的水平。第十章 附则第四十九条 【实施日期】本指南自发布之日起实施。第五十条 【本指南的解释】本指南由工业和信息化部负责解释。相关链接 部 委 相关机构 合作媒体中华人民共和国中央人民政府市住房城乡建设委工业和信息化部国家发展和改革委员会公安部建设部国家工商行政管理总局教育部交通部国家税务总局国家广播电影电视总局国家统计局体育总局海关总署新闻出版总署烟草局中国软件行业协会中国双软认定网北京软件行业协会国脉电子政务网中国电子政务资讯网中国计算机行业网中国赛迪实验室赛迪培训51testing光明